KVKK 7499 Sayılı Kanun Sonrası Yurt Dışına Veri Aktarımı: Standart Sözleşmeler Rejimi

Giriş

2024 yılı, Türkiye'nin kişisel veri koruma rejiminde en köklü değişikliklerden birini getirdi. 12 Mart 2024 tarihli ve 32487 sayılı Resmi Gazete'de yayımlanan 7499 sayılı Kanun, 6698 sayılı KVKK'nın 9'uncu maddesini — yani kişisel verilerin yurt dışına aktarımını — neredeyse baştan yazdı. Değişiklik 1 Haziran 2024 itibarıyla yürürlüğe girdi; 1 Eylül 2024'e kadar tanınan geçiş döneminin ardından şirketlerin açık rızaya dayalı sistematik aktarımlara son vermesi zorunluluk hâline geldi.

Yeni rejimin kalbinde, AB'nin GDPR'sinde uzun süredir uygulanmakta olan "uygun güvence" (appropriate safeguard) mimarisi yer alıyor. Türkiye, bu mimariyi bulut hizmetlerinin, SaaS ürünlerinin, pazarlama teknolojilerinin ve grup içi operasyonların çoktan dünyalaştığı bir ekonomide kurdu; dolayısıyla her sektörden şirket bugün aynı sorunun cevabını vermek zorunda: yurt dışına giden her veri akışı için hangi hukuki güvence geçerli, bu güvence nasıl belgelenecek ve Kurum'a nasıl bildirilecek?

Bu yazıda; yeni m. 9'un mimarisini, ikincil mevzuatın getirdiği uygulama ayrıntılarını, şirketler için doğan yeni yükümlülükleri ve ilk uygulama yılında oluşmaya başlayan örüntüyü ele alıyoruz.

Yeni m. 9'un Üç Katmanlı Mimarisi

7499 sayılı Kanun, m. 9'u üç katmanlı bir yapıya yerleştirdi. Bu yapı, GDPR'nin 44-50. maddelerinde öngörülen modelle belirgin bir yakınsama gösterir.

Birinci katman: Yeterlilik kararı

Kurul, belirli bir ülke, o ülkedeki sektörler veya uluslararası kuruluşlar hakkında "yeterli koruma sağlandığına" dair karar verebilir. Yeterlilik kararı bulunan bir yere aktarım; ek bir güvence mekanizmasına gerek olmaksızın yapılabilir. Ancak 2025 yılı itibarıyla Kurul tarafından henüz yeterlilik kararı verilmiş bir ülke bulunmamaktadır. Bu, pratikte birinci katmanın şimdilik uygulanabilir olmadığı anlamına gelir.

İkinci katman: Uygun güvenceler

Yeterlilik kararı yoksa, aktarım yalnızca "uygun güvencelerin" sağlanması şartıyla yapılabilir. Kanun'un öngördüğü başlıca güvence mekanizmaları şunlardır:

• Standart sözleşme (standart sözleşme metni — SCC),
• Bağlayıcı şirket kuralları (binding corporate rules — BCR),
• Yurt dışında yerleşik veri alıcısı ile yapılan uluslararası sözleşme,
• Kamu kurum ve kuruluşları arasında yapılan uluslararası sözleşme veya taahhütname.

Kurul, 4 Haziran 2024 tarihli ve 2024/959 sayılı kararı ile dört farklı senaryoyu kapsayan standart sözleşme metinlerini kabul etti: veri sorumlusundan veri sorumlusuna, veri sorumlusundan veri işleyene, veri işleyenden veri işleyene, veri işleyenden veri sorumlusuna. Metinler 10 Temmuz 2024'te kvkk.gov.tr'de ilan edildi. Aynı tarihli ve 32598 sayılı Resmi Gazete'de yayımlanan Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik uygulama ayrıntılarını düzenledi.

Üçüncü katman: Arızi haller

Birinci ve ikinci katman devreye giremiyorsa; m. 9/6'da sınırlı olarak sayılan arızi haller (ilgili kişinin açık rızası, sözleşmenin ifası için gereklilik, üstün kamu yararı, hakların tesisi veya korunması gibi) belirli bir aktarım için dayanak oluşturabilir. Bu bentler eski m. 9'daki açık rıza kuralının yerini alacak bir "genel güvence" değil; yalnızca belirli ve düzenli olmayan durumlar için başvurulabilecek istisnalardır.

Uygulamada kritik olan bir nokta: Kurul, arızi hallerin rutin ve sistematik aktarımları meşrulaştıramayacağını ikincil mevzuat ve rehberlerinde açıkça vurguladı. Örneğin çalışanların bulut tabanlı bir İK sistemine devamlı kaydedilmesi, arızi aktarım değil; düzenli ve sistematik bir aktarımdır; dolayısıyla ikinci katman (standart sözleşme veya BCR) üzerinden yürütülmelidir.

Standart Sözleşmenin Operasyonel Yanı

Standart sözleşme mimarisinin pratikteki en belirleyici unsuru, bildirim yükümlülüğüdür. Kanun'un getirdiği çerçeveye göre standart sözleşme, imzalandığı tarihten itibaren 5 iş günü içinde Kurum'a bildirilmek zorundadır. Yönetmelik, bildirimin nasıl yapılacağı, eki belgelerin neler olacağı ve bildirimdeki eksikliklerin nasıl giderileceği konularını ayrıntılandırır.

2025 yılı için bu yükümlülüğe aykırılık; 71.965 TL ile 1.439.300 TL arasında idari para cezası ile yaptırıma bağlanmıştır. Tutar, ihlalin niteliğine göre değil, bildirim yapılmamasına göre belirlenir; yani bir şirket 100 adet standart sözleşme imzalayıp bildirmezse, teorik olarak 100 ayrı ihlalden cezaya muhatap olabilir.

Standart sözleşmenin içeriği Kurul tarafından belirlenen metinde sabittir; taraflar metnin kurucu unsurlarını değiştiremez. Ancak tarafların eki niteliğindeki ekler — hangi veri kategorilerinin aktarıldığı, hangi teknik ve idari tedbirlerin alındığı, alt işleyenlerin kimler olduğu — tarafların doldurduğu ve uygulamada müzakereye en açık kalan kısımdır.

BCR — Ne Zaman Tercih Edilir?

Bağlayıcı şirket kuralları, özellikle çok uluslu grup içi aktarımlarda tercih edilen bir mekanizmadır. BCR, aynı grup şirketleri arasındaki bütün aktarımları tek bir dokümanla güvenceye alır; her yeni alt şirket eklendikçe yeni standart sözleşme imzalamak gerekmez. Karşılığında BCR hazırlığı ve Kurum onay süreci uzun ve ayrıntılıdır.

Kurul'un 2024/959 sayılı kararı ile kabul edilen BCR başvuru formları; yönetişim yapısı, şikâyet yönetimi, eğitim programı, bağımsız denetim mekanizması ve grup içi sorumluluk dağılımı gibi konularda kapsamlı belge üretmeyi gerektirir. Onay süreci, uygulamada 12-24 ay aralığında seyretmektedir.

Pratik öneri: aktarımın büyük bölümü aynı grup içinde (örneğin bir holding ve iştirakleri arasında) gerçekleşiyorsa BCR orta vadede daha verimli olacaktır. Aktarım çoğunlukla farklı tedarikçilere yapılıyorsa standart sözleşme modeli kısa vadede daha çevik bir çözümdür.

İlk Uygulama Yılının Örüntüsü

Kurum'un 2 Ocak 2025'te yayımladığı Kişisel Verilerin Yurt Dışına Aktarılması Rehberi ile birlikte, geçiş döneminin ardından yayımlanan ilk kapsamlı yorum metni de elimize geçti. Rehberden ve Kurum'un kamuoyu duyurularından çıkan örüntü şu noktalarda toplanıyor:

• Standart sözleşme bildirim modülü Kurum tarafından işletilmektedir; şirketler bildirimlerini modül üzerinden yapar.
• Bildirim yapılan sözleşme sayısının sınırlı kaldığı, şirketlerin büyük bölümünün geçiş sürecine hazır olmadığı gözlemlenmektedir.
• Kurul, birden fazla kamuoyu duyurusunda bildirim yükümlülüğünün denetleneceğini hatırlatmıştır.

Şirketler İçin Pratik Kontrol Listesi

Aşağıdaki adımlar, yurt dışı aktarım uyumunu kurmak veya güncellemek isteyen bir şirket için başlangıç çerçevesi oluşturur.

• Mevcut aktarım envanteri güncelleyin: hangi veri, hangi alıcıya, hangi ülkeye, hangi hukuki sebeple akıyor?
• Her aktarım için uygun güvence mekanizmasını belirleyin (SCC mi, BCR mi, arızi hal mi).
• Standart sözleşme gerekiyorsa Kurul'un yayımladığı ilgili metin varyantını seçin; dört metinden yanlış olanın imzalanması pratik bir hatadır.
• Standart sözleşme eklerini — veri kategorileri, alıcılar, amaçlar, teknik ve idari tedbirler, alt işleyenler — şirketinizin gerçek işleme faaliyetini yansıtacak şekilde doldurun.
• İmzalanan her standart sözleşme için 5 iş günlük bildirim takvimini izleyin; bildirim modülünde atanmış sorumlu belirleyin.
• Çalışanlar için bulut tabanlı İK, CRM, iletişim, destek araçları gibi kalıcı akışları özellikle gözden geçirin; bunlar rutin aktarım olduğu için arızi halle değil uygun güvence ile yönetilmelidir.
• Grup içi çok ülkeli aktarımlar yoğunsa BCR stratejisini yılbaşında değerlendirin; hazırlık süresi bir yılı aşabilir.
• Aydınlatma metinlerinizi güncelleyin; artık veri sahiplerine yalnızca aktarımın yapıldığı değil, hangi güvence mekanizması ile yapıldığı da anlatılmalıdır.
• Tedarikçi sözleşmelerine veri koruma ekini (DPA) güncel m. 9 çerçevesiyle uyumlulaştırın.

Sonuç

7499 sayılı Kanun, Türkiye'de yurt dışı veri aktarımını rızaya dayalı ve ucu açık bir zeminden, belgelenebilir ve denetlenebilir bir çerçeveye taşıdı. Yeni rejim, başta hantal görünse de orta vadede hem şirketlerin hem de düzenleyicinin lehine bir disiplin getiriyor. Uygun güvencelerin tercih edilmesi, standart sözleşme bildirim takviminin aksatılmaması ve aktarım haritasının canlı tutulması — önümüzdeki dönemde Kurum denetiminin odak noktası olacak alanlardır.

Şirketlerin bu dönüşümü tek seferlik bir proje olarak değil, envanter, sözleşme portföyü ve operasyonel süreçleri kapsayan sürekli bir yönetişim disiplini olarak ele alması gerekir. Standart sözleşme mimarisi, müvekkilin sınır ötesi iş ortaklarıyla kurduğu güvenin hukuki bir iz bırakmasını sağlar; doğru kurgulandığında uyum kadar iş sürekliliğini de güvence altına alan bir araç olur.